themes theme

Artiklid, mille kirjutas

Warning: Use of undefined constant archives - assumed 'archives' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: Use of undefined constant page - assumed 'page' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32
class="post-3444 post type-post status-publish format-standard hentry category-torjujad">

Tasuta nuhkvaratõrje Emsisoft Anti-Malware

15. august 2010

a-squared Free ehk uue nimetusega  Emsisoft Anti-Malware võib pidada troojate avastamisprotsendilt nii tasuta kui tasuliste versioonide seas kindlalt TOP 5 programmide hulka. Juba aastast 2003 on tegeletud kuritahtlike registrikoodide ning protsesside analüüsimise ja avastamisega, olles tänaseks saavutatud aukartustäratav õelvara andmebaas. Veidi pikemalt olen sellest programmist kirjutanud artiklis Valik tasuta nuhkvaratõrjujaid.

Paraku sattusin lugema foorumeid, milles kurdetakse, et selle programmi tasuta versiooni ei ole enam saada. Tegelikult aga on küll. Tuleb ainult arvestada, et uuendusena ei pruugi pakkuda tasuta versiooni, mis tähendab, et varasem programm tuleb maha installeerida ja uus asemele paigaldada. » Loe edasi: Tasuta nuhkvaratõrje Emsisoft Anti-Malware

Warning: Use of undefined constant archives - assumed 'archives' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: Use of undefined constant page - assumed 'page' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32
class="post-3433 post type-post status-publish format-standard hentry category-juhendid">

Tõrksate tõrjeprogrammide eemaldamine – AppRemover

7. august 2010

Kui püüatakse mingit tõrjeprogrammi  arvutist eemaldada, et näiteks teine tõrje asemele paigaldada, siis tuleb välja, et mõne kasutaja jaoks see ei olegi nii lihtne tegevus. Sageli ollakse hädas just viirusetõrjete eemaldamisel ja küsitakse abi.

See on päris õige, et nii viiruse kui nuhkvaratõrjed  paigaldavad oma tööks vajalikke faile sügavale registrisse, millest mõned neist nö ka peidavad. Tõrjeprogrammi tavalisel eemaldamisel aga jäävad paljud failijäänukid ja registrikirjed alles, mis halvemal juhul võivad isegi arvutitööd segama hakata, seda enam, et ka mõttetult risustatakse süsteemi ebavajalike failidega.  Samuti võib desinstalleerimisel vigu tekkida, kuna ei suudeta korralikult kõiki registrikannete muudatusi tagasi võtta, mida tõrjeprogrammid varasemalt süsteemi turvamiseks on teinud.

Kui varem kustutasin eemaldamata registrikirjeid käsitsi (kasutades samal ajal ka registripuhastusprogramme), siis viimasel ajal olen abiks võtnud väikese portatiivse utiliidi nimega AppRemover.

AppRemover sobib süsteemidele Windows 2000, 2003, XP (32 / 64 bit), Vista (32 / 64 bit), 2008, Windows 7 (32 / 64 bit). See tasuta utiliit ongi spetsiaalselt loodud arvutist lihtsalt, kiirelt ja efektiivselt eemaldama just viiruse- ja nuhkvaratõrjeid, skanneerides põhjalikult läbi kogu arvuti. Tõrjete nimekirja, mille utiliit suudab arvutist tuvastada ja eemaldada, leiab siit. Loomulikult lisatakse aina uusi programme sellesse nimekirja järjest juurde.

Utiliidi kasutamine on väga lihtne.

Kui Next abil on jõutud järgmisse aknasse, siis esimene lahter võimaldab arvutist  eemaldada olemasoleva tõrjeprogrammi ja teise lahtri ette punktikest tehes võib otsida registrivõtmeid ja jäänukeid, mis on jäetud eemaldamata mõne varasema tõrjeprogrammi desinstalleerimisel.

Seejärel tuleb oodata, kuni tuvastatakse tõrjeprogrammid ja valida linnukesega eemaldamist vajav programm kustutamiseks.

Utiliit sobib kasutamiseks, kui tõrjeprogrammide enda uninstallerid on rikutud, kui tõrjet soovitakse vahetada mõne teise vastu, kui paigaldatud tõrje ei sobi arvutisolevate teiste rakendustega; kui mõni tõrjeprogramm on varasemalt eemaldatud, aga arvatakse, et arvutisse on jäänud jäänukeid;  kui mõne tõrjeprogrammi tavalisel viisi desinstalleerimine jääb eemaldamisvea tõttu pooleli; kui tõrjeprogramm oli kaitstud salasõnaga, mida enam ei mäletata.

Ent sellegi utiliidi abil programmide eemaldamisel tasub alati enne teha kindluse mõttes süsteemitaastepunkt.

Warning: Use of undefined constant archives - assumed 'archives' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: Use of undefined constant page - assumed 'page' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32
class="post-3417 post type-post status-publish format-standard hentry category-torjujad">

Viirustevastane päästevahend VIPRE Rescue

12. juuni 2010

Kindlasti on mõni aktiivsem ineternetikasutaja märganud, et tihtipeale ei aita arvuti pahavarasse nakatumise vastu ka see, kui süsteemi kaitseb viirusetõrje. Pole oluline, kas nakkus saadakse läbi P2P programmide, Messengeri teel, surfates ebasoovitavatel veebilehtedel, või ka, tuleb tunnistada, justkui puhastel ja ausatel lehtedel käimisel, ent mis on kräkkerite poolt pahatahtlike skriptidega nakatatud.

Paraku ei saa siin kindlalt väita, et tõrjeprogramm vilets oleks. Pigem on asi ikka selles, et viiruste-, troojate- ja nuhkvarakirjutajad on alati pahalaste vastu võitlejatest sammu võrra ees. Üllatavalt hästi suudetakse pahavara peita tõrjeprogrammide avastamise eest isegi siis, kui programmil on tõrjekood andmebaasides olemas. Sageli kirjutatakse selleks pahalasse koodjupp, mis väldib tuntud tõrjeprogrammidel nende leidmise. Kuid üsna tihti kasutatakse ka ära Windows enda kaitsevõimet, mis ei luba kurivara kustutada. Selleks peaks siis sisenema süsteemi kaitstud režiimi ehk Safe Mode.

Headest ja tasuta viirusetõrjete päästeplaatidest olen kirjutanud selles artiklis. Ent ka üsna tuntud Sunbelt Software pakub väga head ja lihtsat tasuta päästevahendit kurivara eemaldamiseks, ainukeseks puuduseks võib lugeda vaid seda, et operatsioonisüsteem peab olema suuteline käivituma (buutima).

VIPRE Rescue

Vipre Rescue on kaasaskantav ehk portatiivne abivahend, mis on edukaks abivahenditeks ka sellistel puhkudel, kui süsteem on väga raskesti nakatunud – ei suudeta enam arvutisse programme installeerida või käivitada juba paigaldatud rakendusi. Vahet ei tehta, millisesse gruppi see pahalane kuulub – on see nuhkvara, trooja, viirus, klahvinuhk või rootkit – kõik need avastatakse ja hävitatakse halastamatult, sest utiliidis kasutatakse hinnatud VIPRE Antivirus täisandmebaase.

Vipre Rescue on käsurea päästevahend, mille abil saab süsteemi puhastada nii Windows tavapärases- kui kaitstud režiimis (Safe Mode). Utiliit on täisautomaatne, paigaldusfail tuleb vaid avada, kui pärast seda kogu ülejäänud töö tehakse ise – avatakse käsuliin, laetakse andmebaasid, skanneeritakse süsteem läbi  ja leitud pahalased suunatakse karantiini.

Ent tähelepanu! Paraku peab arvestama, et sama utiliidi abil ei saa karantiinist taastada enam ühtegi sinna lisatud pahalast. Seda soovib enamik turvalisusest lugupidavaid kasutajaid, kaasaarvatud mina – süsteem olgu kõigist ohtlikest pahalastest täiesti puhas. Kui aga keegi siiski kasutab sihilikult mõnda pahavaralist programmi, siis peab ta selle taastamiseks eraldi arvutisse laadima Vipre viirusetõrje ja karantiinis oleva faili selle abil päästma. Loetäiendavat infot selle kohta siit.

Tähelepanu peaks pöörama ka sellele, et ei kasutataks utiliidi vanemaid versioone. Vipre päästevahendit uuendatakse regulaarselt ja igast uuest versioonist annab aimu versiooninumber. Kui arvutis on juba olemas vanem versioon, siis tuleks utiliidi kodulehelt alati tirida uuem versioon arvutisse ja paigaldada vanemale automaatselt peale.

Põhjalik skanneerimine

Kui paigaldusfail on arvutisse tiritud, ava see ja vali RUN. Juhul kui rakendus ei taha avaneda ja kuvatakse hoiatus, siis järelikult vajab ta käivitamiseks administraatori õigusi. Tee failil paremklikk, vali kõige ülevalt Run as…, käivita paigaldamine, avanenud aknas märgi punktikesega The following user, kirjuta parool ning seejärel OK. Täpsemalt  koos pildivihjetega saab sellest lugeda siit.

Järgmises aknas kinnita oma soovi failide paigaldamiseks arvutisse Yes abil. Seejärel jälgi, et linnuke oleks kindlasti kastikeses .\deep_scan.bat ja vali Unzip.

Seejärel avaneb automaatselt käsurida , utiliit laeb andmebaasid ja alustab arvutis põhjalikku skanneerimist. Skanneerimise pikkus oleneb arvutis olevatest andmete mahust. Kui neid on palju, siis võtab skanneerimine kaua aega. Kõige olulisem on selle puhul siiski see, et iga fail kontrollitakse piinliku täpsusega üle.

Märkus: kui arvutis kasutatakse ka tulemüüri, siis tuleb selles utiliit läbi lubada. Näiteks Comodo tulemüür kipub päästevahendit liivakastis avama, mida ei tohi lubada. Vali tulemüüri hoiatusest: “Ära käivita seda rakendust enam liivakasti sees.”

Kui kasutajal on viitsimist päästevahendi tööd jälgida, siis avastatud kurivarast antakse talle märku punaste kirjetega. Töö lõpetamisest rohelise kirjaga ja kustutatud pahavarast helesinise kirjega. Nagu eelnavalt öeldud, kõik pahalased eemaldatakse automaatselt ja utiliidi abil ei ole neid võimalik enam karantiinist taastada.

Loomulikult on kõige õigem kindlam viis päästeutiliit tõsta USB abil ühendatavale seadmele ja laadida arvuti üles Safe Mode`s. Ise soovitan sinna siseneda käsu msconfig abil, ent kes tahab, võib katsetada ka klahvi F8 ja valida Safe Mode with Command Prompt.

Ühenda arvutiga USB seade, sisene administraatorina kaitstud režiimi, vali Start – My Computer, leia irdketas (minul on selleks pildil näha väline kõvaketas WD Passport), ava see, leia Vipre päästeutiliit ja toimi nii nagu eelnevalt sai kirjutatud.

Kiire skanneerimine

Utiliidi abil võimalik on teostada ka kiiret pahalaste otsimist. Sel juhul võta päästevahendi avamisel linnuke kastist .\deep_scan.bat. Kui mingil põhjusel ei avane utiliit automaatseks skanneerimiseks, liigu kausta, kuhu failid said avatud (vaikimisi My Computer – Local Disk C – VIPRERESCUE) ja kliki ise VIPRERescueScanner.exe-l. Kui põhjaliku skanneerimismeetodi puhul on käsuliinil näha kirje Scanner configured for deep scan, siis nüüd on kirjas …for quick scan.

Warning: Use of undefined constant archives - assumed 'archives' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: Use of undefined constant page - assumed 'page' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32
class="post-3398 post type-post status-publish format-standard hentry category-torjujad">

Kurivara eemaldaja Anti Rogue Sweep

16. mai 2010

ARSwp ehk Windows Anti Rogue Sweep on üsnagi eksootiline programm Hiinamaalt, seda enam, et esmakordselt rakendust avades võib see mõne kasutaja esialgu pahviks lüüa – programmi peaaknas kuvatakse arusaamatuid hieroglüüfe ja võõrapäraseid veebilehti. Ent tegu ei ole siiski koomiksiga vaid täiesti tõsiseltvõetava tasuta rakendusega, mis on loodud hävitama nii võlts-arvutiprogramme kui ka teisi õelaid pahalasi.

Projektiga tehti algust juba 2006.aasta oktoobris, kui grupp internetifirmades töötavaid entusiaste lõid oma meeskonna ja seadsid eesmärgiks arendada välja kõrgekvaliteediline töövahend arvutisüsteemi puhtana hoidmiseks. Nüüdseks väidavad nad oma kodulehel, et on valmis saanud unikaalse ja võimsa tehnoloogia, mida ükski teine analoogne rakendus ei paku. Utiliidi abil saab edukalt ja täielikult puhastada ka selliseid pahatahtlikke koodijuppe, mis suudavad peituda Windows enda süsteemikaitse alla, mis muul juhul raskendab pahalasest lahti saamist.

Programm sobib opisüsteemidele : Windows 2000/XP/2003/Vista/Win7 – 32 bit ja 64bit.

Paigaldusfaili tirimiseks vali ARSwp allalaadimislehelt vastavalt süsteemile kas 32 bit või 64 bit versioon. Arvutisse paigaldamine möödub lihtsalt, vaid lõpufaasis võiks linnukese eest ära võtta kastikesest Set Home Page, et kasutajate harjumuspärast kodulehte ei muudetaks.

Kõigepealt soovitan ülevalt paremast nurgast lahti teha Sätted (Options) ja võtta linnuke kastist Show Web Page, vajutada OK, sulgeda programm ja siis uuesti avada – toetajate reklaamilehti enam programmis ei näidata.

Kõigepealt tuleks nüüd programmi andmebaase uuendada lingi Update abil, seejärel võib kohe alt paremast nurgast valida Scan või siis programmi vasakuslt tööriistaribalt valida Clean, mis annab arvutisüsteemi skanneerimiseks rohkem võimalusi – Default Scan (soovituslik ja kiire), Custom Scan (kasutaja valikuline), Full Scan (väga põhjalik ent aeganõudev) või Restart Computer Scan ( arvuti taaskäivituselt tulles automaatne pahalaste otsimine).

Kui arvuti on üle skanneeritud ja leitud kahtlaseid kirjeid, siis tasub koheselt kustutada vaid need, mida kasutaja kindlalt teab, et need on pahavaralised protsessid, muul juhul aga kindlasti tuleb avada leitud objekti detailid (Detail), teha kirje aktiivseks, valida Copy To Clipboard, avada veebilehitseja, kleepida see info kasvõi otsingumootorisse Google ning uurida, kas ehk programm mitte ei eksinud. Kui ei eksinud, siis tuleb märkida kirje linnukesega ja valida Clean ehk kustuta. Kui aga tekib kahtlus, et leitud rakendus pole ohtlik, saab selle lisada Add to White List abil ohutute failide hulka.

Lahtri Diagnose abil püütakse tuvastada süsteemi  draiverite ja teenuste (Services) ning aktiivsete- ja varjatud protsesside hulgast pahavaralist tegevust. Paremkliki abil saab neid sulgeda või kustutada. NB! Igal juhul jäägu nende protsesside eluea lõpetamine vaid asjatundjate tegevuseks!

Lahter Leaks annab teada võimalikest haavatavustest, kui miski  suhteliselt oluline Windows turvapaik on jäänud paigaldamata. Turvapaigal paremklikki tehes saab teavet, milleks ta vajalik on. Install selected Updates abil saab kõik need uuendused edukalt arvutisse installeerida, kõrvallahtrile vajutades heidetakse need kõrvale (Ignored).

Programmiakna kõige alumises vasakus nurgas on veel sakk Advanced. Avades selle, jõuab veel mitme kasuliku tööriistani. Näiteks Clean abil saab puhastada süsteemi interneti- ja registriprahist, link Tools avab põhiliselt Windows abivahendite otseteed. NB! Ikoonile FixSys vajutage vaid siis, kui süsteemiga on tõesti midagi väga korrast ära, muidu on mõttekam seda nuppu mitte puutuda.

Warning: Use of undefined constant archives - assumed 'archives' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: Use of undefined constant page - assumed 'page' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32
class="post-3379 post type-post status-publish format-standard hentry category-kuidas-kaituda category-pahalased">

Võlts-turvaprogrammid ehk Rogue Security Software

16. mai 2010

Petis-, kelm-  või võlts-tõrjeprogrammid ehk Rogue Security Software on tarkvaralised rakendused, mis turvalisuse seisukohast näivad olevat kasulikud, kuid tegelikult vaid simuleerivad pahavara eemaldamist ning ei paku üldse kaitset. Need kuvavad ekslikke hoiatusi ja teateid, millega hirmutatakse kasutajaid, et nende arvuti on nakatunud ohtlikusse pahavarasse ning sellega püütakse meelitada antud programmi ostma. Vahetevahel nimetatakse taolisi võlts-tõrjeprogramme ka paanikatarkvarakas ehk scareware´ks.

Võlts-turvaprogrammide nimed sarnanevad sageli tuntud tõrjeprogrammide nimedega, püüdes sellega eksitada kasutajaid programmi arvutisse paigaldama. Sisusuliselt on nende puhul siiski tegu pahavaraga, mille eesmärgiks on varastada kasutajate raha ja privaatset infot või paigaldada selle abil süsteemi teisi kuritahtlikke rakendusi, mis kahjustavad ja aeglustavad arvutitööd või avavad isegi varjatud tagauksi (backdoor) uuteks kuritahtlikeks tegevusteks.  Samuti võivad nad keelata Windows Update värskenduste saamise, rikkuda Windows rakendusi, sulgeda ehtsate tõrjeprogrammide töö või takistada ligipääsu mõnele aktuaalsele veebisaidile nagu näiteks tõrjeprogrammide kodulehtedele.

Kui veebibrauserid on turvaliseks seadmata ja ei kasutata turvapluginaid nagu WOT – Your Safer Web, McAfee SiteAdvisor,  Finjan SecureBrowsing, Prevx SafeOnline, Netcraft Anti Phishing Toolbar jne, võidakse pahatahtlikel veebiehtedel sageli kuvada hoiatavaid hüpikaknaid, mis teatavad, et arvutisüsteem on ohustatud ja vajab kiiret puhastamist. Tavaliselt on nii, et kui sellisel hüpikakna reklaamil klikata ükskõik millisele nupule, näiteks soovitakse seda ristist kinni panna, alustab see siiski koheselt pahalaste arvutisse allalaadimist.

Samuti võidakse e-kirjades pakkuda linke „suurepärase“ tõrjeprogrammi tirimiseks või pakutakse neid kirjamanustena avamiseks. Võlts-programmid võivad arvuti nakatada troojate või nuhkvaraga pahatahtlikelt saitidelt justkui süütut multimeedia koodekit-, ekraanisäästjat-(screensaver) või isegi tavalist pilti alla laadides, tihti võib neid saada ka peer-to-peer (P2P) failijagamisprogrammide vahendusel.

Väga tihti satub pahavaraline võlts-turvaprogramm kasutaja arvutisse kasutaja enda teadmatusest, kui ta tuttavatelt ja sõpradelt nõu küsimata otsib internetiotsingute kaudu omale väärt tõrjeprogramme ja laadib need pahaaimamatult arvutisse täiesti suvaliselt lehelt, kontrollimata nii lehte ennast kui ka programmi. Kuna ka programmil on kõlavalt ilus nimi ja selle reklaamtekst lubab arvutis lausa imesid korda saata, või sarnaneb see programmi nimi juba teada/tuntud tõrjeprogrammi nimega, nakatabki nii kogenematu kasutaja oma arvuti teadmatult.

Enne kui laaditakse kasutajale veel tundmatu, ent meelitavalt hea nimega turvaprogramm arvutisse, tasub otsida selle programmi kohta infot netist ja kindlasti kontrollida alljärgnevatelt lehtedelt, kas seda pole seal pahatahtlikena juba nimetatud:

http://www.lavasoft.com/mylavasoft/rogues/latest – üks paremaid ja informatiivsemaid lehti petturprogrammide tuvastamiseks.

http://en.wikipedia.org/wiki/Rogue_security_software – kerides veidi allapoole leiab nimekirja võltsprogrammidest (Partial list of rogue security software)

http://roguedatabase.net/RogueDL.php# – võltsprogrammide nimekiri, mida pidevalt uuendatakse

http://www.freepcsecurity.co.uk/2009/01/16/list-of-known-malicious-sites-rogue-software/ – lisaks pahatahtlike programmide nimekirjale leiab siit ka veebilehtede nimed, mida tuleks vältida.

http://rogueantispyware.blogspot.com/Sunbelt Rogue  Antispyware blog – kõige parem on otsida võimalikke võlts- tõrjeprogramme, kui leida blogi paremast reast Archive ja vajutada vastavatele kuupäevadele.

PS. Paljud välismaised saidid soovitavad järjekindlalt siiamaani otsida pahavaraprogramme saidilt nimega Spywarewarrior.com. Mina seda ei soovita või vähemalt ei soovita uskuda kõike seda, mis seal kirjas on. Spywarewarrior lehte on viimati uuendatud 4.mail 2007, seega pole seal kõik enam kuld, mis hiilgab.

Warning: Use of undefined constant archives - assumed 'archives' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: Use of undefined constant page - assumed 'page' (this will throw an Error in a future version of PHP) in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32

Warning: A non-numeric value encountered in /data03/virt53041/domeenid/www.arvutikaitse.ee/htdocs/wp-content/themes/cordobo-green-park-2/archive.php on line 32
class="post-3353 post type-post status-publish format-standard hentry category-pettused">

Ehe näide andmepüügist ehk phishing´ust

8. mai 2010

Margus sai 5.mail, HSBC pangalt kirja, milles tal paluti täpsustada oma kontoandmeid, kuna panga arvates on need ebakorrektselt esitatud.  Et pangateenust ei katkestataks, paluti tal kirja lisatud lingil oma privaatseid andmeid täiendavalt kinnitada. Linki oli viisakalt lisatud ka kontoomaniku nimi koos postkasti aadressiga (nimi@hotmail.com), et kirja saaja teaks kindlalt, et selle abil suunatakse ta spetsiaalselt just tema enda kontole. Lingi ees olev võrguprotokoll HTTPS kinnitab, et tegu on täiesti turvalise kliendi ja panga vahelise ühendusega, millele mitte keegi  kolmas ligi ei pääse. Lingil klikates viiakse Margus turvatud pangalehele, millel ta peab sisestama oma isikuandmeid –nime, aadressi, krediitkaardi andmed, logimisparoolid jne.

Margus aga pole rumal poiss. Kahtlust äratab temas juba see, et tal pole kunagi olnud selle pangaga tegemist. Samuti muudab ta ettevaatlikuks kirjas pöördumise vorm -  tervitusteksti algusesse Dear… pole kirjutatud mitte tema nimi vaid postkasti aadress.

Muide, nutikamad andmevargad siiski sellist viga ei tee vaid nimetavad personaalselt ainult kasutaja nime ja perenime või siis lihtsalt teatavad tervituses Dear Customer (Hea (panga)klient). Ja tavaliselt on neil ka kodutöö paremini tehtud, saates selliseid õngitsemiskirju kindlamale sihtrühmale, kes just kõige tõenäolisemalt võivad olla antud panga klientideks.

Näiteks, kui kiri oleks tulnud Hansapangalt või Ühispangalt, mille andmepüügipettustest saab lugeda siit või siit, ning kui Margus poleks teadnud, kuidas turvaliselt e-posti lugeda, siis selle kindla panga kliendina oleks ta võibolla isegi lingile vajutanud. Teadaolevalt satub selliste paroolipüügi õngitsemiste ohvriteks väga palju inimesi, kaasaarvatud vilunud arvutispetsialistid – loe sellest täpsemalt siit.

Ent Margus ei vajuta kunagi mõtlematult kirjades viidatud linkidele, eriti veel sellistele, milles küsitakse tema privaatsete isikuandmete sisestamist, vaid kustutab selle petukirja kohe ära. Ent enne seda saadab ta selle mulle täiendavaks kontrollimiseks, mis on tema poolt väga tore ja tervitatav, kuna niimoodi saan ka paljusid teisi arvutikasutajaid ohtlikest rünnakutest teavitada.

Mis lingi kontrollimisel selgus?

Kui juba kirjas endas tegin antud pangalingil paremkliki ja valisin Properties, mis näitab ära lingi tegeliku aadressi, siis ehtsa pangaadressi asemel kuvatigi mulle hoopis teine aadress ehk siis veebilsaidi aadress (software24h.vn/images/red.php), millele kilikates oleksin sattunud tõenäolisele võltspangalehele. Õigem oleks öelda, et antud aadressi abil oleks mind märkamatult suunatud võltslehele, millel püütaksegi privaatseid andmeid varastada. Selline suunamine toimub reeglina ülikiirelt, et kasutaja sellest aru ei saaks.

Peaks veel mainima, et selliseid petulinke on imelihtne teha. Näiteks, kellel on vaja kohe ja praegu minna Hansapanga avalehele võib vajutada sellele turvaliselt krüpteeritud pangalingile: https://www.swedbank.ee/private 🙂 🙂 :)  Seega, e-kirjades või suhtlusportaalides, foorumites või suhtlemisprogrammides (MSN, Skype jne) saadetavad lingid ei pruugi alati olla need, millele nad viitavad!

Kui olin lingil paremklikki tehes veendunud, et tegu ei ole õige pangaadressiga, tegin ma järgnevalt siiski midagi sellist, mida selliste linkide puhul ei tohiks kunagi teha, ehk siis vajutasin sellele. Etteruttavalt olgu öeldud, et kasutasin virtuaalsüsteemi teenuseid, kuna phishing-saidid võivad lisaks tavalisele andmepüügi vargusele olla ka nakatatud kõikvõimalikku kurivarasse, mis laaditakse märkamatult ohvri arvutisse.

Ja oh imet! Sattusingi ilusasti pangalehe, millest isegi veebilehitseja lehepäis teatab uhkelt – Internet Banking: HSBC Bank UK – Mozilla Firefox. Ainult, et imelikul kombel on aadressiribal pangaaadressiks hXXp://myadmiral.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/………, kuigi pangaleht ise näeb välja ehtne mis ehtne. Järgnevalt sulgesin lehe ja klikkisin uuesti lingil. Jällegi avati mulle pangaleht, ent mitme proovimise järel kuvati see leht juba uute aadresside abil:

hXXp://notnotfun.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/….

hXXp://storyofaline.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……

hXXp://ragamalaproductions.com/hsbc-uk/1-2/HSBC-INTEGRATION/…..

hXXp://japantelugusamakhya.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……..

hXXp://www.heartlings.com/images/hsbc-uk/1-2/HSBC-INTEGRATION/……….

Järgmisena kasutasin ühte väga head veebiaadresside kontrollimislinki  vURL Online, mis leiab kiiresti pahatahtlikud või kahtlustäratavad veebisaidid ja domeenid, mis on musta nimekirja lisatud. Piisas sellest, kui otsisin infot kirjas olnud tegeliku lingiaadressi (software24h.vn/images/red.php) abil. Sain vastuseks:

This domain is listed in the hpHOSTS blacklist. Website’s in this database should be viewed with extreme saution

(See domeen on lisatud hpHOSTS musta nimekirja ja selle veebisaidi andmebaasidesse tuleb suhtuda äärmise ettevaatusega).

Järgnevalt kontrollisin neid aadresse mitmete URL-skanneritega, aga antud hetkel vaid vähesed teatasid, et need saidid oleksid kahtlustäratavad. Tõenäoliselt oli tegu niivõrd värskelt ülesriputatud õngitsemislehega. Seevastu mõne tunni pärast, kui nii ise kui ka tõenäoliselt paljud teised kasutajad olid teavitanud vastavaid turvalehti võimalikust pettusekahtlusest, kuvati hoopis teisi tulemusi.

Aitäh Margusele, et teatas kahtlasest kirjast ja oli nõus avaldama selle loo ka Arvutikaitse.ee-s.